新注册用户改成了人工审核了

gxqcn

我比较担心，“稍微麻烦点的问题”，不是每个人都能轻易解决的，恐怕把许多想正常交流的拦在门外了。

其实，现在的问题点不是注册的限制问题，而是注册后如何防止滥发帖的管理问题，要找到根源堵好漏洞。

之前，我曾将新注册用户，禁止发帖时段设定为 22:15 ~ 7:45，
昨天发现该设置被缩短了（造成不坏好意者清晨来攻击），我马上又恢复了。

wayne

最近三天的广告贴主要是新用户注册导致的。先解决这个问题。
---------------------------
作为数学爱好者纯手工计算的算力来说，问题难度都是中等偏下。
再加上，现在有数学软件工具和大模型的加持，尤其是大模型。 感觉正常的人应该都会想到这两个求助方式。
如果自己做不出来，然后又不会用数学软件工具，或者求助大模型， 我感觉基本上可以判定这个人是不太常规的。咱们论坛要的是正常人。
我记得B站的注册非常麻烦。如果我这样的解释还是不到位的话，那我就取消这种限制。这个是目前设置的题目：



---------------------------
至于注册后滥发帖的问题，多半是因为密码泄露。这个我们没办法。
但是从真人的行为模式上分析，我们可以杜绝广告的滥发，比如一个人一天发帖数不超过100个。两个帖子的时间间隔不会短于1分钟，短于1分钟，基本上可以归并到 编辑上一个帖子的操作，而不是再发一个新帖子。等等等。


---------------------------

。

wayne

其实我个人倾向于放弃discuz， 毕竟discuz不仅是上古时代的技术选型和开发语言，还是官方的弃子。
我们可以找一下替代的方案。我不担心论坛框架不同导致 帖子内容格式的不兼容，因为帖子的迁移本质上是一个字符串处理的过程，稍微写点代码就能解决。
我们最需要考虑的是论坛框架的成熟度和灵活度。

wayne

增加了难度稍大的注册验证问题，换回邮箱自动审核，好像也没问题了。问题的根源可能在于新用户注册的验证问题过于简单。

这个突然间就豁然明朗了，问题太简单的话，爬虫程序很容易自动完成这个验证过程。

nyy

换一个问题：比如下列哪几用户是本论坛的管理员？
让用户6选2。

wayne

看郭老大还在疑惑 短期内为啥可发天量帖子，那我来总结一下我理解的这次广告攻击最有可能的设计思路和全过程。

1）先导的常识
我们知道，作为程序员，只要拥有一个网站的合法账号，我们是可以轻轻松松用程序来发帖的。就是HTTP RESTFUL的那一套，全程都可以代码驱动，无需任何的人工干预。顶多在发帖或者注册账号等某个环节 出现了真人验证，需要人工填入，而不是机器自动填入。而恰恰碰巧，php是上古时代的产物，验证问题都很简单。大多数论坛的配置的默认验证问题就是2位数的加减法，所以这个验证问题是可以程序获取，字符串解析提取一下2+8=？这种表达式，并自动计算填入的。
2）假设这种情况
假如某个php高手熟读了 discuz的代码，发现了discuz的代码的某个设计缺陷。打个比方，比如对用户发帖数的限制是通过读取网页前端的参数完成的，而不是用户每发帖一次，就实时的读一次内存的数据(某个全局的单例变量)，或者后台的数据库的参数。
作为敏锐的程序猿，应该知道，网页前端的控件是给人看的，不是给程序用的（程序的API调用）。这是一个很好的信号，于是，他就可以设计一个具体的攻击流程。怎么设计呢，这取决于他的动机。他如果是对郭某某有私仇，并且知道郭某某的某某网站如果攻陷了就会有巨大的经济损失，这种情况是单点定向的攻击，显然，咱们遇到的肯定不是这种，咱们是非营利的论坛，而且郭老大人品这么好。那一定是无差别攻击了，无差别攻击那就是嗅探攻击。批量扫描一个ip范围的web服务，发起某个discuz相关的请求，发现应答符合discuz的行为特征，那么就可以判定这个是一个discuz服务。接下来只需要调用专为discuz设计的固定的程序代码就行。我在自己的服务器上故意写了一个tcp服务，每有一个客户端连接上来，就打印客户端的类型，每天我都能看到大量的嗅探攻击，都是测试各种服务的，比如rdp，http，rtp，hadoop，postgresql的，

那无差别的嗅探攻击时要扫描大量的ip地址的，所以不大可能在某一个具体的网站浪费过多的时间，做过多的攻击设计，比如不同的网站有不同的配置参数，比如还要设计如何攻击数据库的权限。所以采取新建账号是他时间成本最低的选择，至此攻击设计的思路已经完成。。。
。。。

3）如何规避这种无差别攻击
知道大概的攻击原理，就知道如何规避了。
3.1）论坛的后台参数都尽量避免用默认的设置参数，每改一个默认参数，都有可能打破攻击代码的任何一个脆弱的环节。
3.2）重视网站的真人验证